Ключевые выводы
Организации часто пренебрегают обновлением прикладного программного обеспечения, что позволяет злоумышленникам эффективно использовать даже те уязвимости, патчи для которых доступны продолжительное время.
Использование динамических DNS позволяет атакующим иметь более гибкую инфраструктуру и избегать быстрой блокировки.
Атакующие все чаще используют менее популярные фреймворки постэксплуатации, что позволяет им эффективнее обходить ряд средств защиты.
Описание атаки
В этот раз атакующие выдавали себя за Министерство промышленности и торговли Российской Федерации, а фишинговые электронные письма содержали архивы с именем Pismo_izveshcanie_2023_10_16.rar, которые эксплуатировали уязвимость CVE-2023-38831.
Архив содержал легитимный документ в формате PDF, а также папку с вредоносным файлом CMD. После открытия архива и двойного щелчка по документу эксплоит запускал файл CMD. Соответственно, WinRAR.exe запускает cmd.exe, чтобы выполнить вредоносный файл CMD.
Возможности обнаружения 1
В данном случае
WinRAR.exeзапускаетcmd.exe, чтобы выполнить вредоносный файл CMD (C:\Users\[redacted]\AppData\Local\Temp\Rar$DIa5576.1088\Pismo_Rassylka_Ministerstva_promyshlennosti.pdf .cmd). Запускcmd.exeнетипичен дляWinRAR.exe. Кроме того, мы можем использовать список расширений файлов, которые ассоциируются с эксплуатируемой уязвимостью, чтобы сделать наш метод обнаружения еще более точным.Мы можем обращать внимание на
WinRAR.exe, который запускаетcmd.exeдля выполнения файла с одним из следующих расширений:.cmd,.pif,.com,.exe,.bat,.lnk.
Вредоносный файл CMD выполняет следующий сценарий PowerShell:
powershell -nop -WindowStyle Hidden -c "Invoke-Command -ScriptBlock ([scriptblock]::Create([System.Text.Encoding]::ASCII.GetString([System.Convert]::FromBase64String('[redacted]'))))Сценарий обфусцирован и выполняет следующие действия:
загружает легитимный документ PDF (
Pismo_Rassylka_Ministerstva_promyshlennosti.pdf, его содержимое показано на рисунке ниже) chXXps://cloudfare[.]webredirect[.]org(провайдер динамических DNS Dynu) и открывает его;загружает агент Athena c
hXXps://cloudfare[.]webredirect[.]orgи сохраняет его какC:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe;создает задание в планировщике Windows для запуска агента каждые 10 минут:
schtasks /crEaTE /Sc mINUTE /mo 10 /TN "Microsoft Edge" /Tr C:\Users\[redacted]\AppData\Local\Microsoft\Windows\Fonts\MikrosoftEdge.exe /f.
Возможности обнаружения 2
Здесь мы имеем сразу несколько возможностей для обнаружения. Например, PowerShell взаимодействует с адресом провайдера динамических DNS — это подозрительно.
Далее,
powershell.exeсоздает файлы в нетипичных расположениях — это еще один пример подозрительного поведения. Вы можете использовать информацию об этих папках для реализации проактивного поиска угроз, например искать подозрительные исполняемые файлы, запущенные из папокFontsилиRingtones.Чтобы закрепиться в скомпрометированной системе, атакующие использовали планировщик заданий Windows. Разумеется, такая активность создает много шума, но вы можете поэкспериментировать с параметрами командной строки, чтобы обнаружить аномальную активность. Например, можно сфокусироваться на тех, которые нетипичны для вашей IT-инфраструктуры.
И наконец, агент Athena. В данном случае он использует Discord для получения команд, а значит, у нас есть возможность обнаружить подозрительные коммуникации, например, с
discord[.]comилиdiscordapp[.]com, исходящие не от приложения Discord или браузеров.
Mythic C2 представляет собой кросс-платформенный коллаборационный фреймворк для специалистов по тестированию на проникновение. Он позволяет оператору производить различные действия в контексте постэксплуатации — например, взаимодействовать с файловой системой скомпрометированной системы, загружать и выгружать файлы, выполнять команды и сценарии, сканировать сеть и т. п.
Заключение
Несмотря на то что фреймворки постэксплуатации активно используются многими группировками, особенно если говорим о популярных вроде Cobalt Strike и Metasploit, Mythic мы видим в арсенале злоумышленников не так часто, что может позволить им обойти некоторые средства защиты, имеющиеся у организаций.
Индикаторы компрометации
hXXps://cloudfare[.]webredirect[.]org;947bf4f9b0b0ad87f8abdfdf53ae7f518560959a5168ff1893b2a63f57cc35ca;85239a43c106a44aac81c772f87982848cf18bcce87b5c0b5c4f1b1ea17c8b66;a4ba00adcfc3d0be2f7e78fe7712dc379b8a82b6b6fd77351c51955f82595e20.
MITRE ATT&CK
Тактика | Техника | Процедура |
|---|---|---|
Initial Access | Phishing: Spearphishing Attachment | Mysterious Werewolf использует вложенные в фишинговые письма архивы, которые эксплуатируют уязвимость CVE-2023-38831 |
Execution | Exploitation for Client Execution | Mysterious Werewolf использует уязвимость CVE-2023-38831 в WinRAR для выполнения вредоносного кода в скомпрометированной системе |
User Execution: Malicious File | Жертве необходимо открыть вредоносный файл, чтобы инициализировать процесс компрометации | |
Command and Scripting Interpreter: Windows Command Shell | В результате успешной эксплуатации запуск вредоносного файла CMD осуществляется с помощью командной строки Windows | |
Command and Scripting Interpreter: PowerShell | Mysterious Werewolf использует PowerShell для загрузки легитимных документов и агента Athena с удаленного сервера | |
Persistence | Scheduled Task/Job: Scheduled Task | Mysterious Werewolf создает задания в планировщике Windows для закрепления в скомпрометированной системе |
Defense Evasion | Masquerading: Match Legitimate Name or Location | Mysterious Werewolf использует имена для вредоносных файлов, похожие на легитимные |
Obfuscated Files or Information | Mysterious Werewolf использует Base64 для кодирования скриптов, выполняемых в PowerShell | |
Command and Control | Dynamic Resolution | Mysterious Werewolf использует динамические DNS для загрузки файлов в скомпрометированную систему |
Ingress Tool Transfer | Mysterious Werewolf загружает агент Athena с удаленного сервера | |
Web Service: Bidirectional Communication | Mysterious Werewolf использует Discord для коммуникации с С2 |
